使用 AWS CloudHSM將 Windows Server 設定為憑證授權單位 (CA) - AWS CloudHSM
必要條件建立 Windows Server CA簽署 CSR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudHSM將 Windows Server 設定為憑證授權單位 (CA)

在公有金鑰基礎設施 (PKI) 中,憑證授權機構 (CA) 是發行數位憑證的受信任實體。這些數位憑證透過公有金鑰加密和數位簽章,將公有金鑰繫結至身分識別 (個人或組織)。若要操作 CA,您必須保護簽署 CA 所發行憑證的私有金鑰,以維護信任。您可以在叢集的 HSM中 AWS CloudHSM 存放私有金鑰,並使用 HSM 來執行密碼編譯簽署操作。

在本教學課程中,您可以使用 Windows Server 和 AWS CloudHSM 來設定 CA。您會在 Windows 伺服器上安裝適用於 Windows 的 AWS CloudHSM 用戶端軟體,然後將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。當您設定此角色時,您可以使用 AWS CloudHSM 金鑰儲存提供者 (KSP) 在您的 AWS CloudHSM 叢集上建立和儲存 CA 的私有金鑰。KSP 是將 Windows 伺服器連接至 AWS CloudHSM 叢集的橋接器。在最後一個步驟中,您會使用 Windows Server CA 簽署憑證簽署請求 (CSR)。

如需詳細資訊,請參閱下列主題:

步驟 1:設定先決條件

若要使用 將 Windows Server 設定為憑證授權機構 (CA) AWS CloudHSM,您需要下列項目:

  • 具有至少一個 的作用中 AWS CloudHSM 叢集HSM。

  • 執行已安裝 Windows AWS CloudHSM 用戶端軟體之 Windows Server 作業系統的 Amazon EC2執行個體。本教學課程使用 Microsoft Windows Server 2016。

  • 在 上擁有和管理 CA 私有金鑰的密碼編譯使用者 (CU)HSM。

使用 設定 Windows Server CA 的先決條件 AWS CloudHSM

  1. 完成「開始使用」中的步驟。當您啟動 Amazon EC2用戶端時,請選擇 Windows Server AMI。本教學課程使用 Microsoft Windows Server 2016。當您完成這些步驟時,您有一個具有至少一個 的作用中叢集HSM。您也有執行 Windows Server 的 Amazon EC2用戶端執行個體,其中已安裝 Windows 用戶端 AWS CloudHSM 軟體。

  2. (選用) HSMs將更多新增至叢集。如需詳細資訊,請參閱將 HSM新增至 AWS CloudHSM 叢集

  3. 連接至您的用戶端執行個體。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的連線至您的執行個體

  4. 使用使用使用 CloudHSM 管理HSM使用者CLI或使用 CloudHSM Management Utility 管理HSM使用者 () 建立加密使用者 (CUCMU)。保持追蹤 CU 使用者名稱和密碼。您需要它們來完成下一個步驟。

  5. 使用您在上一個步驟中建立的 CU 使用者名稱和密碼,設定 的登入憑證HSM

  6. 在步驟 5 中,如果您使用 Windows Credentials Manager 來設定HSM憑證,psexec.exe請從 下載 SysInternals 以執行下列命令作為 NT Authority:SYSTEM

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Replace (取代) <USERNAME> 以及 <PASSWORD> 憑證HSM。

若要使用 建立 Windows Server CA AWS CloudHSM,請前往 建立 Windows Server CA

步驟 2:使用 建立 Windows Server CA AWS CloudHSM

若要建立 Windows Server CA,您可以將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。新增此角色時,您可以使用 AWS CloudHSM 金鑰儲存提供者 (KSP) 在您的 AWS CloudHSM 叢集上建立和儲存 CA 的私有金鑰。

注意

建立您的 Windows Server CA 時,您可以選擇建立根 CA 或次級 CA。您一般會根據組織的公有金鑰基礎設施和安全政策的設計進行此決策。本教學課程說明如何建立根 CA 以簡化程序。

將 AD CS 角色新增至您的 Windows Server 和建立 CA 的私有金鑰

  1. 如果您尚未這麼做,請連接至您的 Windows 伺服器。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的連線至您的執行個體

  2. 在 Windows 伺服器上,啟動 Server Manager (伺服器管理員)

  3. Server Manager (伺服器管理員) 儀表板中,選擇 Add roles and features (新增角色和功能)

  4. 閱讀 Before you begin (開始之前) 資訊,然後選擇 Next (下一步)

  5. 對於 Installation Type (安裝類型),選擇 Role-based or feature-based installation (角色型或功能型安裝)。然後選擇下一步

  6. 對於 Server Selection (伺服器選項),選擇 Select a server from the server pool (從伺服器集區選取伺服器)。然後選擇下一步

  7. 對於 Server Roles (伺服器角色),執行下列動作:

    1. 選取 Active Directory Certificate Services (Active Directory Certificate Services)

    2. 對於 Add features that are required for Active Directory Certificate Services (新增 Active Directory Certificate Services 需要的功能,選擇 Add Features (新增功能)

    3. 選擇 Next (下一步) 來完成伺服器角色的選取。

  8. 對於 Features (功能),接受預設值,然後選擇 Next (下一步)

  9. 對於 AD CS (AD CS),執行下列動作:

    1. 選擇下一步

    2. 選取 Certification Authority (憑證授權單位),然後選擇 Next (下一步)

  10. 對於 Confirmation (確認),閱讀確認資訊,然後選擇 Install (安裝)。請勿關閉視窗。

  11. 選擇反白顯示的 Configure Active Directory Certificate Services on the destination server (在目的地伺服器上設定 Active Directory Certificate Services) 連結。

  12. 對於 Credentials (登入資料),驗證或變更顯示的登入資料。然後選擇下一步

  13. 對於 Role Services (角色服務),選取 Certification Authority (憑證授權單位)。然後選擇下一步

  14. 對於 Setup Type (設定類型),選取 Standalone CA (獨立 CA)。然後選擇下一步

  15. 對於 CA Type (CA 類型),選取 Root CA (根 CA)。然後選擇下一步

    注意

    您可以根據公有金鑰基礎設施和組織安全政策的設計,選擇建立根 CA 或次級 CA。本教學課程說明如何建立根 CA 以簡化程序。

  16. 對於 Private Key (私有金鑰),選取 Create a new private key (建立新的私有金鑰)。然後選擇下一步

  17. 對於 Cryptography (加密法),執行下列動作:

    1. 對於 Select a cryptographic provider (選取密碼編譯供應商),從功能表選擇其中一個 Cavium Key Storage Provider (Cavium 金鑰儲存供應商) 選項。這些是 AWS CloudHSM 金鑰儲存供應商。例如,您可以選擇 RSA#Cavium Key Storage Provider

    2. 對於 Key length (金鑰長度),選擇其中一個金鑰長度選項。

    3. 對於 Select the hash algorithm for signing certificates issued by this CA (選取用於簽署這個 CA 發出之憑證的雜湊演算法),請選擇其中一個雜湊演算法選項。

    選擇下一步

  18. 對於 CA Name (CA 名稱),執行下列動作:

    1. (選用) 編輯常用的名稱。

    2. (選用) 輸入辨別名稱尾碼。

    選擇下一步

  19. 對於 Validity Period (有效期間),以年、月、週或天指定時段。然後選擇下一步

  20. 對於 Certificate Database (憑證資料庫),您可以接受預設值,或選擇變更資料庫和資料庫日誌的位置。然後選擇下一步

  21. 對於 Confirmation (確認),檢閱您的 CA 的相關資訊,然後選擇 Configure (設定)

  22. 選擇 Close (關閉),然後再次選擇 Close (關閉)

您現在擁有具有 的 Windows Server CA AWS CloudHSM。若要了解如何與您的 CA 簽署憑證簽署請求 (CSR),請前往 簽署 CSR

步驟 3:使用 Windows Server CA 簽署憑證簽署請求 (CSR) AWS CloudHSM

您可以使用 Windows Server CA AWS CloudHSM 與 簽署憑證簽署請求 (CSR)。若要完成這些步驟,您需要有效的 CSR。您可以透過CSR多種方式建立 ,包括以下內容:

  • 使用開啟SSL

  • 使用 Windows Server Internet Information Services (IIS) Manager

  • 在 Microsoft Management Console 中使用憑證嵌入式管理單元

  • 在 Windows 上使用 certreq 命令列公用程式

建立 的步驟CSR超出本教學課程的範圍。當您擁有 時CSR,您可以使用 Windows Server CA 簽署。

CSR 使用 Windows Server CA 簽署

  1. 如果您尚未這麼做,請連接至您的 Windows 伺服器。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的連線至您的執行個體

  2. 在 Windows 伺服器上,啟動 Server Manager (伺服器管理員)

  3. 伺服器管理員儀表板右上角,選擇 Tools (工具)Certification Authority (憑證授權單位)

  4. Certification Authority (憑證授權單位) 視窗中,選擇您的電腦名稱。

  5. Action (執行) 功能表中,選擇 All Tasks (所有工作)Submit new request (提交新要求)

  6. 選取您的CSR檔案,然後選擇開啟

  7. Certification Authority (憑證授權單位)視窗中,按兩下 Pending Requests (擱置要求)

  8. 選取擱置要求。然後,從 Action (執行) 功能表中,選擇 All Tasks (所有工作)Issue (發行)

  9. Certification Authority (憑證授權單位) 視窗中,按兩下 Issued Requests (已發出的要求),以檢視已簽署的憑證。

  10. (選用) 若要將已簽署的憑證匯出到檔案,請完成以下步驟:

    1. Certification Authority (憑證授權單位) 視窗中,按兩下憑證。

    2. 選擇 Details (詳細資料) 標籤,然後選擇 Copy to File (複製到檔案)

    3. 依照憑證匯出精靈中的指示進行。

您現在擁有具有 的 Windows Server CA AWS CloudHSM,以及由 Windows Server CA 簽署的有效憑證。